摈弃机器学习（ML）模型的训练过程中观察到的数据是可以强化的基于ML-应用程序的隐私和安全方面发挥了举足轻重的作用的一项重要任务。本文提出了以下问题：（一），我们可以忘掉从ML模型数据的类/类，而在完整的训练数据看哪怕一次？ （二）我们可以忘却快速和可扩展到大型数据集的过程，它推广到不同的深网络？我们引入错误最大化噪音的产生，损害修复基于重量操纵新机器忘却的框架，提供了一个有效的解决方案对上述问题。错误最大化的噪声矩阵学习了使用原始模型的不精通类。噪声矩阵用于操纵模型的权重忘却目标类的数据。我们引入了网络权的控制操作IMPAIR和修复步骤。在步骤IMPAIR，具有非常高的学习速率沿所述噪声矩阵被用于诱导尖锐忘却在模型中。此后，将修步骤用于重新获得的整体性能。除了极少数的更新步骤中，我们表现出优异的忘却，同时基本上保留了整个模型的准确性。摈弃多个类需要作为单独的类类似的更新的步数，使得我们的方法扩展到大的问题。我们的方法是相比于现有的方法非常有效，适用于多类忘却，不把任何约束的原始优化机制或网络设计，以及小型和大型视觉任务效果很好。这项工作是实现快速和容易实现在深网络忘却的重要一步。我们将源代码公开。

现代隐私法规授予公民被产品，服务和公司遗忘的权利。在机器学习（ML）应用程序的情况下，这不仅需要从存储档案中删除数据，而且还需要从ML模型中删除数据。由于对ML应用所需的监管依从性的需求越来越大，因此机器上的学习已成为一个新兴的研究问题。被遗忘的请求的权利是从已训练的ML模型中删除特定集或一类数据的形式的形式。实际考虑因素排除了模型的重新划分，从而减去已删除的数据。现有的少数研究使用了整个培训数据，或一部分培训数据，或者在培训期间存储的一些元数据以更新模型权重进行学习。但是，严格的监管合规性需要时间限制数据。因此，在许多情况下，即使是出于学习目的，也无法访问与培训过程或培训样本有关的数据。因此，我们提出一个问题：是否有可能使用零培训样本实现学习？在本文中，我们介绍了零击机的新问题，即适合极端但实用的方案，在该场景中，零原始数据样本可供使用。然后，我们根据（a）误差最小化最大化噪声和（b）门控知识传递的误差，提出了两种新的解决方案，以零发出的计算机学习。这些方法在保持保留数据上的模型疗效的同时，从模型中删除了忘记数据的信息。零射击方法可以很好地保护模型反转攻击和成员推理攻击。我们引入了新的评估度量，解散指数（AIN），以有效地测量未学习方法的质量。实验显示了在基准视觉数据集中深度学习模型中学习的有希望的结果。

数十年来，计算机系统持有大量个人数据。一方面，这种数据丰度允许在人工智能（AI），尤其是机器学习（ML）模型中突破。另一方面，它可能威胁用户的隐私并削弱人类与人工智能之间的信任。最近的法规要求，可以从一般情况下从计算机系统中删除有关用户的私人信息，特别是根据要求从ML模型中删除（例如，“被遗忘的权利”）。虽然从后端数据库中删除数据应该很简单，但在AI上下文中，它不够，因为ML模型经常“记住”旧数据。现有的对抗攻击证明，我们可以从训练有素的模型中学习私人会员或培训数据的属性。这种现象要求采用新的范式，即机器学习，以使ML模型忘记了特定的数据。事实证明，由于缺乏共同的框架和资源，最近在机器上学习的工作无法完全解决问题。在本调查文件中，我们试图在其定义，场景，机制和应用中对机器进行彻底的研究。具体而言，作为最先进的研究的类别集合，我们希望为那些寻求机器未学习的入门及其各种表述，设计要求，删除请求，算法和用途的人提供广泛的参考。 ML申请。此外，我们希望概述范式中的关键发现和趋势，并突出显示尚未看到机器无法使用的新研究领域，但仍可以受益匪浅。我们希望这项调查为ML研究人员以及寻求创新隐私技术的研究人员提供宝贵的参考。我们的资源是在https://github.com/tamlhp/awesome-machine-unlearning上。

从机器学习模型中删除指定的培训数据子集的影响可能需要解决隐私，公平和数据质量等问题。删除子集后剩余数据从头开始对模型进行重新审查是有效但通常是不可行的，因为其计算费用。因此，在过去的几年中，已经看到了几种有效拆除的新方法，形成了“机器学习”领域，但是，到目前为止，出版的文献的许多方面都是不同的，缺乏共识。在本文中，我们总结并比较了七个最先进的机器学习算法，合并对现场中使用的核心概念的定义，调和不同的方法来评估算法，并讨论与在实践中应用机器相关的问题。

最近的立法导致对机器学习的兴趣，即从预测模型中删除特定的培训样本，就好像它们在培训数据集中从未存在。由于损坏/对抗性数据或仅仅是用户的更新隐私要求，也可能需要进行学习。对于不需要培训的模型（K-NN），只需删除最近的原始样品即可有效。但是，这个想法不适合学习更丰富的表示的模型。由于模型维度D的趋势，最新的想法利用了基于优化的更新，因为损失函数的Hessian颠倒了。我们使用新的条件独立系数L-CODEC的变体来识别模型参数的子集，其语义重叠在单个样本级别上。我们的方法完全避免了将（可能）巨大矩阵倒置的必要性。通过利用马尔可夫毯子的选择，我们前提是l-codec也适合深度学习以及视觉中的其他应用。与替代方案相比，L-Codec在原本是不可行的设置中可以实现近似学习，包括用于面部识别的视觉模型，人重新识别和可能需要未经学习的样品进行排除的NLP模型。代码可以在https://github.com/vsingh-group/lcodec-deep-unlearning/

机器学习模型表现出两个看似矛盾的现象：训练数据记忆和各种遗忘形式。在记忆中，模型过于适合特定的培训示例，并容易受到隐私攻击的影响。在忘记时，最终忘记了在培训初期出现的例子。在这项工作中，我们将这些现象联系起来。我们提出了一种技术，以衡量训练示例的细节在多大程度上``忘记''，从而不易受到他们最近未曾见过的示例的隐私攻击的影响。我们表明，尽管非凸性可以防止在最坏的情况下忘记发生，但标准图像和语音模型在经验上确实会随着时间的流逝而忘记示例。我们将非确定性识别为潜在的解释，表明经过确定性训练的模型不会忘记。我们的结果表明，当使用极大的数据集培训（例如用于预训练模型的示例）时，早期看到的例子可能会观察到隐私益处，而牺牲了后来看到的示例。

最近，人们对机器的兴趣越来越大，这主要是由于法律要求，例如《通用数据保护法规》（GDPR）和《加利福尼亚州消费者隐私法》。因此，提出了多种方法，以从训练有素的模型中消除特定目标数据点的影响。但是，在评估学习的成功时，当前方法要么使用对抗攻击，要么将其结果与最佳解决方案进行比较，该解决方案通常从头开始纳入重新培训。我们认为两种方式在实践中都不足。在这项工作中，我们提出了基于认知不确定性的机器学习算法的评估度量。这是对我们最佳知识的机器学习通用评估指标的第一个定义。

In this paper, we present a simple yet surprisingly effective technique to induce "selective amnesia" on a backdoored model. Our approach, called SEAM, has been inspired by the problem of catastrophic forgetting (CF), a long standing issue in continual learning. Our idea is to retrain a given DNN model on randomly labeled clean data, to induce a CF on the model, leading to a sudden forget on both primary and backdoor tasks; then we recover the primary task by retraining the randomized model on correctly labeled clean data. We analyzed SEAM by modeling the unlearning process as continual learning and further approximating a DNN using Neural Tangent Kernel for measuring CF. Our analysis shows that our random-labeling approach actually maximizes the CF on an unknown backdoor in the absence of triggered inputs, and also preserves some feature extraction in the network to enable a fast revival of the primary task. We further evaluated SEAM on both image processing and Natural Language Processing tasks, under both data contamination and training manipulation attacks, over thousands of models either trained on popular image datasets or provided by the TrojAI competition. Our experiments show that SEAM vastly outperforms the state-of-the-art unlearning techniques, achieving a high Fidelity (measuring the gap between the accuracy of the primary task and that of the backdoor) within a few minutes (about 30 times faster than training a model from scratch using the MNIST dataset), with only a small amount of clean data (0.1% of training data for TrojAI models).

机器学习模型的预测失败通常来自训练数据中的缺陷，例如不正确的标签，离群值和选择偏见。但是，这些负责给定失败模式的数据点通常不知道先验，更不用说修复故障的机制了。这项工作借鉴了贝叶斯对持续学习的看法，并为两者开发了一个通用框架，确定了导致目标失败的培训示例，并通过删除有关它们的信息来修复模型。该框架自然允许将最近学习的最新进展解决这一新的模型维修问题，同时将现有的作品集成了影响功能和数据删除作为特定实例。在实验上，提出的方法优于基准，既可以识别有害训练数据，又要以可普遍的方式固定模型失败。

差异隐私（DP）提供了正式的隐私保证，以防止对手可以访问机器学习模型，从而从提取有关单个培训点的信息。最受欢迎的DP训练方法是差异私有随机梯度下降（DP-SGD），它通过在训练过程中注入噪声来实现这种保护。然而，以前的工作发现，DP-SGD通常会导致标准图像分类基准的性能显着降解。此外，一些作者假设DP-SGD在大型模型上固有地表现不佳，因为保留隐私所需的噪声规范与模型维度成正比。相反，我们证明了过度参数化模型上的DP-SGD可以比以前想象的要好得多。将仔细的超参数调整与简单技术结合起来，以确保信号传播并提高收敛速率，我们获得了新的SOTA，而没有额外数据的CIFAR-10，在81.4％的81.4％下（8，10^{ - 5}） - 使用40 -layer wide-Resnet，比以前的SOTA提高了71.7％。当对预训练的NFNET-F3进行微调时，我们在ImageNet（0.5，8*10^{ - 7}）下达到了83.8％的TOP-1精度。此外，我们还在（8，8 \ cdot 10^{ - 7}）下达到了86.7％的TOP-1精度，DP仅比当前的非私人SOTA仅4.3％。我们认为，我们的结果是缩小私人图像分类和非私有图像分类之间准确性差距的重要一步。

受到正规彩票假说（RLTH）的启发，该假说假设在密集网络中存在平稳（非二进制）子网，以实现密集网络的竞争性能，我们提出了几个播放类增量学习（FSCIL）方法。 to as \ emph {soft-subnetworks（softnet）}。我们的目标是逐步学习一系列会议，每个会议在每个课程中只包含一些培训实例，同时保留了先前学到的知识。软网络在基本训练会议上共同学习模型权重和自适应非二进制软面具，每个面具由主要和次要子网组成；前者的目的是最大程度地减少训练期间的灾难性遗忘，而后者的目的是避免在每个新培训课程中过度拟合一些样本。我们提供了全面的经验验证，表明我们的软网络通过超越基准数据集的最先进基准的性能来有效地解决了几个弹药的学习问题。

从公共机器学习（ML）模型中泄漏数据是一个越来越重要的领域，因为ML的商业和政府应用可以利用多个数据源，可能包括用户和客户的敏感数据。我们对几个方面的当代进步进行了全面的调查，涵盖了非自愿数据泄漏，这对ML模型很自然，潜在的恶毒泄漏是由隐私攻击引起的，以及目前可用的防御机制。我们专注于推理时间泄漏，这是公开可用模型的最可能场景。我们首先在不同的数据，任务和模型体系结构的背景下讨论什么是泄漏。然后，我们提出了跨非自愿和恶意泄漏的分类法，可用的防御措施，然后进行当前可用的评估指标和应用。我们以杰出的挑战和开放性的问题结束，概述了一些有希望的未来研究方向。

Continual Learning (CL) is a field dedicated to devise algorithms able to achieve lifelong learning. Overcoming the knowledge disruption of previously acquired concepts, a drawback affecting deep learning models and that goes by the name of catastrophic forgetting, is a hard challenge. Currently, deep learning methods can attain impressive results when the data modeled does not undergo a considerable distributional shift in subsequent learning sessions, but whenever we expose such systems to this incremental setting, performance drop very quickly. Overcoming this limitation is fundamental as it would allow us to build truly intelligent systems showing stability and plasticity. Secondly, it would allow us to overcome the onerous limitation of retraining these architectures from scratch with the new updated data. In this thesis, we tackle the problem from multiple directions. In a first study, we show that in rehearsal-based techniques (systems that use memory buffer), the quantity of data stored in the rehearsal buffer is a more important factor over the quality of the data. Secondly, we propose one of the early works of incremental learning on ViTs architectures, comparing functional, weight and attention regularization approaches and propose effective novel a novel asymmetric loss. At the end we conclude with a study on pretraining and how it affects the performance in Continual Learning, raising some questions about the effective progression of the field. We then conclude with some future directions and closing remarks.

数据保护法规中规定的权利允许患者要求数据持有人消除有关其信息的知识。随着AI在数据上学习的出现，人们可以想象，这种权利可以要求忘记AI模型中患者数据知识的要求。但是，忘记了来自AI模型的患者的成像数据仍然是一个爆炸案。在本文中，我们研究了患者数据对模型性能的影响，并为患者的数据提出了两个假设：他们是常见的，并且与其他患者相似，或者形成边缘病例，即独特的和罕见的病例。我们表明，不可能轻松地忘记患者数据。我们提出了一种有针对性的遗忘方法，以执行患者遗忘。基准自动化心脏诊断挑战数据集的广泛实验展示了所提出的目标遗忘方法的性能，而不是最先进的方法。

终身学习旨在学习一系列任务，而无需忘记先前获得的知识。但是，由于隐私或版权原因，涉及的培训数据可能不是终身合法的。例如，在实际情况下，模型所有者可能希望不时启用或禁用特定任务或特定样本的知识。不幸的是，这种灵活的对知识转移的灵活控制在以前的增量或减少学习方法中，即使在问题设定的水平上也被忽略了。在本文中，我们探索了一种新颖的学习方案，称为学习，可回收遗忘（LIRF），该方案明确处理任务或特定于样本的知识去除和恢复。具体而言，LIRF带来了两个创新的方案，即知识存款和撤回，这使用户指定的知识从预先训练的网络中隔离开来，并在必要时将其注入。在知识存款过程中，从目标网络中提取了指定的知识并存储在存款模块中，同时保留了目标网络的不敏感或一般知识，并进一步增强。在知识提取期间，将带走知识添加回目标网络。存款和提取过程仅需在删除数据上对几个时期进行填充时期，从而确保数据和时间效率。我们在几个数据集上进行实验，并证明所提出的LIRF策略具有令人振奋的概括能力。

随着智能代理在更长的时间内变得自主，他们最终可能会成为特定人的终身对应者。如果是这样，用户可能希望代理商暂时掌握任务，但后来由于隐私问题而忘记了任务。但是，使代理到\ emph {忘记}用户在不降低其余知识的情况下指定的内容是一个具有挑战性的问题。为了应对这一挑战，本文正式将这种持续学习和私人学习（CLPU）问题形式化。该论文进一步引入了一个直接但完全私有的解决方案Clpu-der ++，作为解决CLPU问题的第一步，以及一组精心设计的基准问题，以评估所提出的解决方案的有效性。该代码可在https://github.com/cranial-xix/continual-learning-private-unlearning上找到。

鉴于对机器学习模型的访问，可以进行对手重建模型的培训数据？这项工作从一个强大的知情对手的镜头研究了这个问题，他们知道除了一个之外的所有培训数据点。通过实例化混凝土攻击，我们表明重建此严格威胁模型中的剩余数据点是可行的。对于凸模型（例如Logistic回归），重建攻击很简单，可以以封闭形式导出。对于更常规的模型（例如神经网络），我们提出了一种基于训练的攻击策略，该攻击策略接收作为输入攻击的模型的权重，并产生目标数据点。我们展示了我们对MNIST和CIFAR-10训练的图像分类器的攻击的有效性，并系统地研究了标准机器学习管道的哪些因素影响重建成功。最后，我们从理论上调查了有多差异的隐私足以通过知情对手减轻重建攻击。我们的工作提供了有效的重建攻击，模型开发人员可以用于评估超出以前作品中考虑的一般设置中的个别点的记忆（例如，生成语言模型或访问培训梯度）;它表明，标准模型具有存储足够信息的能力，以实现培训数据点的高保真重建;它表明，差异隐私可以成功减轻该参数制度中的攻击，其中公用事业劣化最小。

近年来，计算机视觉社区中最受欢迎的技术之一就是深度学习技术。作为一种数据驱动的技术，深层模型需要大量准确标记的培训数据，这在许多现实世界中通常是无法访问的。数据空间解决方案是数据增强（DA），可以人为地从原始样本中生成新图像。图像增强策略可能因数据集而有所不同，因为不同的数据类型可能需要不同的增强以促进模型培训。但是，DA策略的设计主要由具有领域知识的人类专家决定，这被认为是高度主观和错误的。为了减轻此类问题，一个新颖的方向是使用自动数据增强（AUTODA）技术自动从给定数据集中学习图像增强策略。 Autoda模型的目的是找到可以最大化模型性能提高的最佳DA策略。这项调查从图像分类的角度讨论了Autoda技术出现的根本原因。我们确定标准自动赛车模型的三个关键组件：搜索空间，搜索算法和评估功能。根据他们的架构，我们提供了现有图像AUTODA方法的系统分类法。本文介绍了Autoda领域的主要作品，讨论了他们的利弊，并提出了一些潜在的方向以进行未来的改进。

近年来，机器学习神经网络深深地渗透到人们的生活中。作为便利性的价格，人们的私人信息也具有披露的风险。 “被遗忘的权利”是及时介绍的，规定，个人有权根据其同意撤销他们的个人信息处理活动的同意。为了解决这个问题，提出了机器无读，这允许模型擦除所有私人信息的内存。以前的研究，包括再培训和增量学习更新模型，通常占用额外的存储空间，或者很难应用于神经网络。我们的方法只需要对目标模型的权重进行小的扰动，并使其在用剩余数据子集接受训练的模型的方向上迭代，直到完全消除了未经注册数据到模型的贡献。在本文中，五个数据集的实验证明了我们对机器无线测井方法的有效性，而我们的方法比再培训快15倍。

人类的持续学习（CL）能力与稳定性与可塑性困境密切相关，描述了人类如何实现持续的学习能力和保存的学习信息。自发育以来，CL的概念始终存在于人工智能（AI）中。本文提出了对CL的全面审查。与之前的评论不同，主要关注CL中的灾难性遗忘现象，本文根据稳定性与可塑性机制的宏观视角来调查CL。类似于生物对应物，“智能”AI代理商应该是I）记住以前学到的信息（信息回流）; ii）不断推断新信息（信息浏览:); iii）转移有用的信息（信息转移），以实现高级CL。根据分类学，评估度量，算法，应用以及一些打开问题。我们的主要贡献涉及I）从人工综合情报层面重新检查CL; ii）在CL主题提供详细和广泛的概述; iii）提出一些关于CL潜在发展的新颖思路。